Medewerkers van het HagaZiekenhuis snuffelden in het dossier van een BN’er terwijl ze er niets te zoeken hadden. Wat zijn de consequenties? Tien vragen en antwoorden over ongeoorloofd inzage in het EPD.
Wat is er in het HagaZiekenhuis gebeurd?
Bij een routinecontrole kwam aan het licht dat tientallen medewerkers in het dossier van een patiënt hebben gekeken met wie ze geen behandelrelatie hebben, laat woordvoerder Marnix Beekmans van het HagaZiekenhuis weten. ‘Wij wilden aanvankelijk intern orde op zaken stellen door de medewerkers hierop aan te spreken. Maar iemand heeft dit feit naar de media gelekt met de naam van de patiënt erbij. Een uiterst vervelende zaak.’
Wat gebeurt er met de medewerkers?
De medewerkers van het HagaZiekenhuis worden waarschijnlijk niet ontslagen. ‘De zaak is formeel nog in onderzoek, maar zoals het er nu naar uitziet, krijgen de medewerkers een officiële waarschuwing’, zegt ziekenhuiswoordvoerder Beekmans.
Is ongeoorloofd rondneuzen reden tot ontslag?
Dat kan het zijn. De verpleegkundige heeft een wettelijk beroepsgeheim. Je mag geen medische informatie raadplegen als je niet direct betrokken bent bij de zorgverlening of behandeling. Daarnaast zijn alle medewerkers van een ziekenhuis via hun arbeidscontract aan een geheimhoudingsplicht gebonden.Schending van het beroepsgeheim is een ernstige zaak: ongeoorloofd een dossier inkijken heeft meermalen tot ontslag geleid. Vaak wordt ontslag voorafgegaan door een waarschuwing, zoals in het geval van een polikliniekassistente van het Westfriesgasthuis. Zij werd in februari dit jaar op staande voet ontslagen, nadat ze eerder een officiële waarschuwing had gekregen voor rondneuzen in dossiers. Het ontslag op staande voet van een dialyseverpleegkundige uit het Maasstad Ziekenhuis hield voor de rechter niet stand. Deze verpleegkundige had twintig keer in een dossier van een patiënt gekeken met wie hij geen behandelrelatie had. Hij had bovendien naar buiten gebracht dat de betreffende patiënt was overleden aan aids. Het Gerechtshof in Den Haag draaide in 2016 het ontslag op staande voet terug. Deze maatregel vond de rechter te zwaar, omdat de verpleegkundige weliswaar een fout had gemaakt, maar in zijn hele carrière verder goed had gefunctioneerd. De arbeidsovereenkomst werd wel beëindigd.
Is rondneuzen in patiëntendossiers een datalek?
Ja. Volgens de Autoriteit Persoonsgegevens spreek je al van een datalek ‘wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie’.
Moet je een datalek melden?
Niet elk datalek hoeft gemeld bij de Autoriteit Persoonsgegevens. Dit moet alleen wanneer het een ernstig datalek betreft. Een checklist hiervoor staat op de website van de Autoriteit Persoonsgevens. Als medewerker heb je die meldplicht trouwens niet. Die is er alleen voor de verantwoordelijke voor de gegevensverwerking en dat is de zorginstelling.
Heeft het HagaZiekenhuis het lek gemeld?
Aanvankelijk niet, volgens de woordvoerder. ‘In het HagaZiekenhuis verkeerden we tijdens ons interne onderzoek in de veronderstelling dat er geen datalek was, of in ieder geval dat het niet meldplichtig was, omdat er geen medische informatie naar buiten was gegaan’, zegt de woordvoerder. ‘Daarom hebben we het feit bij ons interne onderzoek niet gelijk gemeld bij de Autoriteit Persoonsgegevens. Later, toen het feit in de openbaarheid kwam, hebben we dat wel gedaan.’
Hoe vaak komt het voor dat medewerkers ongeoorloofd kijken in dossiers?
De gezondheidszorg als sector was in 2017 koploper met 3105 gemelde datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen gaat het om lekken van naam- en adresgegevens, bijvoorbeeld door een mail naar een verkeerde ontvanger te sturen. Gevallen als in het HagaZiekenhuis, waarbij medewerkers in dossiers kijken terwijl ze dat niet mogen, zijn in 2017 ongeveer tien keer gemeld, laat een woordvoerder van de Autoriteit Persoonsgegevens weten. Hoe vaak het gebeurt zonder dat het wordt gemeld, is onbekend.
Hoe waren de dossiers in het HagaZiekenhuis beveiligd?
Het HagaZiekenhuis heeft z’n dossiers op de voor ziekenhuizen gangbare manier beveiligd, zegt woordvoerder Beekmans. ‘Vanuit de functie, verpleegkundige bijvoorbeeld, word je geautoriseerd om in een dossier te kijken en eenmaal ingelogd moet de medewerker zichzelf nogmaals autoriseren door een pop-upscherm weg te klikken. Achteraf is te zien wie er allemaal in een dossier hebben gekeken en of dat geoorloofd is. Dat controleren we regelmatig steekproefsgewijs. Zo is in maart ook ontdekt dat er medewerkers ongeoorloofd in het dossier van de BN’er hadden gekeken.’
Moet die beveiliging beter?
Daar gaat het HagaZiekenhuis zich samen met de softwareleverancier op beraden, zegt Beekmans. ‘Maar naast de techniek, is het vooral ook een cultuurkwestie. Medewerkers moeten ervan doordrongen worden hoe ernstig het is. Bij het inwerken van onze medewerkers gaan we daar meer aandacht aan besteden. Deze casus gebruiken we als voorbeeld wat er kan gebeuren als je in de fout gaat.’
Hoe kun je als ziekenhuis een BN’er nog meer beschermen?
Het Tergooi ziekenhuis, met locaties in Hilversum en Blaricum, heeft voor BN’ers de ‘vip-status’ bedacht. Daarmee schrijven patiënten zich niet in onder hun eigen, maar via een speciaal patiënten-identificatienummer of een schuilnaam, zo meldde De Telegraaf deze week. Ook het VUmc biedt patiënten deze mogelijkheid.
Geef je reactie
Om te kunnen reageren moet je inlogd zijn. Inloggen Ik heb nog geen account